SPAにおける認証/認可について検討しています。

こちらのサイトの記載を見ると、

https://www.buildinsider.net/enterprise/openid/oauth20
JSアプリ（アプリ独自のBackend Serverなし）：
secretを秘匿に保てない
常にユーザーがブラウザーの前にいることが期待できるため、必要に応じてAPIアクセス権限を再取得可能
ブラウザーは特定ユーザーと1対1でひも付くことが想定されるため、ユーザー認証の重要性は低い

といった記載がありますが、仮にユーザのPCがウィルス感染していてアクセストークンが漏洩したら第三者アクセスが可能になってしまうので、この対応だと弱いと感じます。

この問題はOauth2ではなくOIDCを用いれば解決するのか、
というところがよく分かっていないのですが、
OIDCではid_tokenが導入されてそこでaud/sub/issuerを用いた認証が付与されることは認識しましたが、
結局、access_tokenと一緒にid_tokenも流出したら第三者アクセス出来てしまうのでは？
という感じがしていまいます。
実際、id_tokenはどのように機能するのでしょうか？

別途、CSRF対策でstateパラメタを認可リクエスト時と認可レスポンス時で照合するといった方式について拝見しましたが、ただOIDC化するのでは意味がなく、
同じくRP側にて、id_tokenをユーザセッションと紐づけて第三者利用が出来ないような実装が必要という話でしょうか？